WAPT1.3.13
Debian8
Win7&10
-----------------------
Ciao,
ho eseguito un aggiornamento di prova dalla versione 1.3.13 alla 1.5. Funziona abbastanza bene. Tuttavia, vorrei abilitare Kerberos per motivi di sicurezza, ma ricevo questo errore:
ERRORE FATALE: EWaptBadServerAuthentication: Autenticazione non riuscita sul server https://....
Ho già visto questo argomento, ma non ho problemi con il record DNS SRV: viewtopic.php?t=1060
Quando dovrei abilitare Kerberos? È meglio farlo durante il postconf.sh iniziale o in seguito?
Funziona su Debian 9? Forse è una domanda stupida, ma qual è il nome utente/password da inserire quando si esegue apt-get register?
Grazie
[RISOLTO] Problema Kerberos
Regole del forum
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Regole del forum della community
* Supporto in inglese su www.reddit.com/r/wapt
* Supporto della community in francese disponibile su questo forum
* Si prega di anteporre [RISOLTO] al titolo dell'argomento se è stato risolto.
* Si prega di non modificare un argomento contrassegnato con [RISOLTO]. Aprire un nuovo argomento facendo riferimento a quello precedente.
* Specificare la versione di WAPT installata, la versione completa e il numero di build (2.2.1.11957 / 2.2.2.12337 / ecc.) nonché l'edizione Enterprise/Discovery.
* Le versioni 1.8.2 e precedenti non sono più supportate. Le uniche domande accettate relative alla versione 1.8.2 riguardano l'aggiornamento a una versione supportata (2.1, 2.2, ecc.).
* Specificare il sistema operativo del server (Linux/Windows) e la versione (Debian Buster/Bullseye - CentOS 7 - Windows Server 2012/2016/2019).
* Specificare il sistema operativo della macchina di amministrazione/creazione dei pacchetti e della macchina con l'agente problematico, se applicabile (Windows 7/10/11/Debian 11/ecc.).
* Evitare di porre più domande quando si apre una discussione, altrimenti potrebbe essere ignorata. Se ci sono più discussioni, aprirle separatamente, preferibilmente una dopo l'altra e non tutte contemporaneamente (ovvero, non intasare il forum).
* Includere frammenti di codice, screenshot e altre immagini direttamente nel post. I link a Pastebin, Bitly e altri siti di terze parti verranno sistematicamente rimossi.
* Come in qualsiasi forum della community, il supporto è fornito volontariamente dai membri. Se si necessita di supporto commerciale, è possibile contattare il reparto vendite di Tranquil IT al numero 02.40.97.57.55
Quando si abilita Kerberos sul server, gli agenti WAPT devono tentare di registrarsi utilizzando un ticket Kerberos.
Affinché ciò funzioni, l'agente deve avere `use_kerberos = 1` nella sua configurazione
(https://www.wapt.fr/fr/doc/Configuratio ... rveur-wapt).
Quando si genera un agente dalla console, la casella di controllo "Usa Kerberos per la registrazione iniziale" abilita questa opzione nel file `waptagent.exe`.
Affinché ciò funzioni, l'agente deve avere `use_kerberos = 1` nella sua configurazione
(https://www.wapt.fr/fr/doc/Configuratio ... rveur-wapt).
Quando si genera un agente dalla console, la casella di controllo "Usa Kerberos per la registrazione iniziale" abilita questa opzione nel file `waptagent.exe`.
Sì, ho già controllato i file di configurazione del server e del client e la generazione dell'agente avviene correttamente.
Ho reinstallato e infine sono passato a Debian 9.5. Ora
ricevo un nuovo errore:
`wapt-get register -S
.... HTTPError: 403 Error: FORbidden for url: https://...../add_host_kerberos`.
Si tratta di un problema di configurazione di nginx?
Ho reinstallato e infine sono passato a Debian 9.5. Ora
ricevo un nuovo errore:
`wapt-get register -S
.... HTTPError: 403 Error: FORbidden for url: https://...../add_host_kerberos`.
Si tratta di un problema di configurazione di nginx?
In effetti, al momento il post-conferenza non è molto pulito.
È necessario avviare postconf con l'opzione --use-kerberos
Altrimenti, la configurazione nginx non è adatta per Kerberos
È necessario avviare postconf con l'opzione --use-kerberos
Codice: Seleziona tutto
/opt/wapt/waptserver/scripts/postconf.sh --use-kerberosL'autenticazione Kerberos non funziona affatto per me...
Ho seguito la documentazione passo passo:
https://www.wapt.fr/fr/doc/Installation ... ebian.html (Ad Microsoft W2016)
Test 1:
Test su un client registrato con AD (Computer) (use_kerberos = 1 sul client - use_kerberos = True, allow_unauthentificated_registration = False sul server):
wapt-get register -S
waptservice Utente: (admin locale)
Password: ***
HTTPError: 403 Errore: FORbidden per url: https://wapt.0861234a.lan//add_host_kerberos
Test 2:
Test su un client registrato con AD (Computer) (use_kerberos = 0 sul client - use_kerberos = True, allow_unauthentificated_registration = False sul server):
wapt-get register -S
waptservice Utente: (admin locale)
Password: ***
EWaptBadServerAuthentication: Autenticazione non riuscita sul server https://wapt.0861234a.lan per l'azione add_host
Test 3:
Test su un client referenziato su AD (Computer) (use_kerberos = 0 sul client - use_kerberos = True, allow_unauthentificated_registration = True sul server):
wapt-get register -S
waptservice Utente: (admin locale)
Password: ***
L'inventario è stato inviato al server WAPT (la macchina appare correttamente sulla console
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" non riuscito (2: Nessun file o directory di questo tipo), client: IP, server: _, richiesta: "GET ...
Conf client:
[global]
repo_url=https://wapt.0861234a.lan/wapt
send-usage_report=1
use_hostpackages=1
wapt_server=https://wapt.0861234a.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hibertboot_enabled=0
Configurazione server: /opt/wapt/conf/waptserver.ini
[uwsqi]
http-socket = 127.0.0.1:8080
master = true
processes = 16
wsqi = waptserver:app
chdir = /opt/wapt/waptserver/
max-requests = 100
uid = wapt
gid = www-data
enable-threads = true
[opzioni]
wapt_user = admin
wapt-password = ...
wapt-folder = /var/www/wapt
server_uuid = ...
waptwua_folder = /var/www/waptwua
consenti_registrazione_non_autenticata = Falso
chiave_segreta = ...
usa_kerberos = Vero
Ho seguito la documentazione passo passo:
https://www.wapt.fr/fr/doc/Installation ... ebian.html (Ad Microsoft W2016)
Test 1:
Test su un client registrato con AD (Computer) (use_kerberos = 1 sul client - use_kerberos = True, allow_unauthentificated_registration = False sul server):
wapt-get register -S
waptservice Utente: (admin locale)
Password: ***
HTTPError: 403 Errore: FORbidden per url: https://wapt.0861234a.lan//add_host_kerberos
Test 2:
Test su un client registrato con AD (Computer) (use_kerberos = 0 sul client - use_kerberos = True, allow_unauthentificated_registration = False sul server):
wapt-get register -S
waptservice Utente: (admin locale)
Password: ***
EWaptBadServerAuthentication: Autenticazione non riuscita sul server https://wapt.0861234a.lan per l'azione add_host
Test 3:
Test su un client referenziato su AD (Computer) (use_kerberos = 0 sul client - use_kerberos = True, allow_unauthentificated_registration = True sul server):
wapt-get register -S
waptservice Utente: (admin locale)
Password: ***
L'inventario è stato inviato al server WAPT (la macchina appare correttamente sulla console
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" non riuscito (2: Nessun file o directory di questo tipo), client: IP, server: _, richiesta: "GET ...
Conf client:
[global]
repo_url=https://wapt.0861234a.lan/wapt
send-usage_report=1
use_hostpackages=1
wapt_server=https://wapt.0861234a.lan
use_kerberos=1
check_certificates_validity=1
verify_cert=0
dnsdomain=
max_gpo_script_wait=180
pre_shutdown_timeout=180
hibertboot_enabled=0
Configurazione server: /opt/wapt/conf/waptserver.ini
[uwsqi]
http-socket = 127.0.0.1:8080
master = true
processes = 16
wsqi = waptserver:app
chdir = /opt/wapt/waptserver/
max-requests = 100
uid = wapt
gid = www-data
enable-threads = true
[opzioni]
wapt_user = admin
wapt-password = ...
wapt-folder = /var/www/wapt
server_uuid = ...
waptwua_folder = /var/www/waptwua
consenti_registrazione_non_autenticata = Falso
chiave_segreta = ...
usa_kerberos = Vero
Alla luce del messaggio di errore
la configurazione nginx è errata
add_host_kerberos restituisce 403 se --use-kerberos non viene passato come opzione (ho appena apportato una correzione per rendere il postconf più pulito)
controlla la configurazione di nginx
se questo è presente in /etc/nginx/sites-enabled/wapt.conf:
Quindi il postconf non è stato applicato correttamente
Codice: Seleziona tutto
HTTPError : 403 Error : FOrbidden for url : https://wapt.0861234a.lan//add_host_kerberosadd_host_kerberos restituisce 403 se --use-kerberos non viene passato come opzione (ho appena apportato una correzione per rendere il postconf più pulito)
controlla la configurazione di nginx
se questo è presente in /etc/nginx/sites-enabled/wapt.conf:
Codice: Seleziona tutto
location /add_host_kerberos {
return 403;
}
Ok, ho appena eseguito
di nuovo il comando `/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos`
e ha effettivamente modificato il contenuto di `/add_host_kerberos` in `/etc/nginx/sites-enabled/wapt.conf`.
Ora ho: `
location /add_host_kerberos {
auth_gss on;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}`
Tuttavia, non funziona ancora... Sono tornato all'errore iniziale:
`EWaptBadServerAuthentication: Autenticazione non riuscita sul server https://wapt.0861234a.lan/ per l'azione add_host_kerberos...`
Per essere chiari, l'utente WaptService richiesto per la registrazione è effettivamente un account amministratore locale che deve essere fornito? Ho provato con l'amministratore di dominio ed è lo stesso.
Continuo a ricevere questo errore:
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" non riuscito (2: Nessun file o directory di questo tipo), client: IP, server: _, richiesta: "GET ...
---
Kinit funziona bene... anche klist... msktutil OK - permessi OK.
Siamo d'accordo sul fatto che dovremmo cancellare il contenuto del file /etc/krb5.conf e aggiungere questo:
[libdefaults]
default_realm = MYDOMAIN.LAN
dns_lookup_kdc = true
dns_lookup_realm=false.
Solo una cosa, il messaggio "Per verificare, il comando da riga di comando echo $(hostname) dovrebbe restituire l'indirizzo DNS che useranno gli agenti WAPT."
restituisce solo il nome della macchina, ovvero wapt. È normale?
GRAZIE
di nuovo il comando `/opt/wapt/waptserver/scripts/postconf.sh --use-kerberos`
e ha effettivamente modificato il contenuto di `/add_host_kerberos` in `/etc/nginx/sites-enabled/wapt.conf`.
Ora ho: `
location /add_host_kerberos {
auth_gss on;
auth_gss_keytab /etc/nginx/http-krb5.keytab;
proxy_pass http://127.0.0.1:8080;
}`
Tuttavia, non funziona ancora... Sono tornato all'errore iniziale:
`EWaptBadServerAuthentication: Autenticazione non riuscita sul server https://wapt.0861234a.lan/ per l'azione add_host_kerberos...`
Per essere chiari, l'utente WaptService richiesto per la registrazione è effettivamente un account amministratore locale che deve essere fornito? Ho provato con l'amministratore di dominio ed è lo stesso.
Continuo a ricevere questo errore:
/var/log/nginx/error.log:
[error] *640 open() "/var/www/wapt-host/676.....wapt" non riuscito (2: Nessun file o directory di questo tipo), client: IP, server: _, richiesta: "GET ...
---
Kinit funziona bene... anche klist... msktutil OK - permessi OK.
Siamo d'accordo sul fatto che dovremmo cancellare il contenuto del file /etc/krb5.conf e aggiungere questo:
[libdefaults]
default_realm = MYDOMAIN.LAN
dns_lookup_kdc = true
dns_lookup_realm=false.
Solo una cosa, il messaggio "Per verificare, il comando da riga di comando echo $(hostname) dovrebbe restituire l'indirizzo DNS che useranno gli agenti WAPT."
restituisce solo il nome della macchina, ovvero wapt. È normale?
GRAZIE
NO
Come indica la documentazione "echo $(hostname) dovrebbe restituire l'indirizzo DNS che gli agenti WAPT utilizzeranno"
in caso contrario il tuo serviceprincipalname non verrà registrato correttamente nell'annuncio.
* Rimuovere l'account della macchina dal server wapt nell'annuncio
* Eliminare il ticket /etc/nginx/http-krb5.keytab
Ora riavvia la procedura dall'inizio con un nome di dominio completo (FQDN) nel file /etc/hostname
-
dcardon
- Esperto WAPT
- Messaggi: 1908
- Registrazione: 18 giugno 2014 - 09:58
- Ubicazione: Saint Sébastien sur Loire
- Contatto:
Ciao James,
Sinceramente,
Denis
Si consiglia di aprire un nuovo argomento per un nuovo argomento. Chiudo questo argomento perché risolto.
Sinceramente,
Denis
Denis Cardon - Tranquil IT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
Condividi le tue esperienze su WAPT! Inviaci gli URL dei tuoi blog e articoli nella "La tua opinione del forum e li pubblicheremo sul di WAPT
